1660-1037
CONTENTS
- 1. 개인정보보호법위반 | 수집 유형과 위반 처벌 사례
- - 기업이 수집하는 개인정보 주요 유형
- - 개인정보 유출 등 개인정보보호법 위반한 기업 사례
- 2. 개인정보보호법위반 | 경영자 필수 체크리스트
- - 개인정보 수집·보관 시 법적 동의
- - 마케팅 용 광고성 문자 발송 동의 필수
- - 개인정보 유출 시 민사, 형사처벌 병행 가능
- 3. 개인정보보호법위반 | 사후 대응보다 사전 진단이 현명
1. 개인정보보호법위반 | 수집 유형과 위반 처벌 사례
개인정보보호법위반과 관련하여 매출 규모와 관계없이 크고 작은 기업들이 민사상 손해배상은 물론 형사처벌, 과징금 부과 등의 불이익을 받는 사례가 증가하고 있습니다.
디지털 환경의 확산으로 인해 기업의 모든 경영 활동에는 ‘개인정보’가 긴밀히 연결되어 있습니다.
특히 고객 및 직원의 개인정보를 수집·활용하거나 광고성 정보를 발송하는 과정에서 법적 요건을 간과 혹은 정보 유출사고가 발생할 경우 경영자 개인이 민형사상 책임을 질 수 있다는 점에서 각별한 주의가 필요합니다.
기업이 수집하는 개인정보 주요 유형
- 이용자 실명, 닉네임, 생년월일과 성별
- 주소 및 이메일 주소
- 휴대전화 번호
- 신용카드 번호, 계좌번호 및 거래내역
- GPS 위치 정보, IP 주소
- 기타 건강정보, 종교 성향 등 민감정보(별도 명시적 동의 필수)
개인정보 유출 등 개인정보보호법 위반한 기업 사례
CASE 1. 취미·기술 등 온라인 강의 서비스 운영기업 C사
DB 관리자계정 해킹해 이용자 160만명 개인정보 유출
IP 제한 없음, 이용자 개인정보 암호화하지 않는 등 C사 안전조치 의무 위반
→과징금 5,360만원, 과태료 720만원
CASE 2. 홈쇼핑, TV 콘텐츠 등 서비스 운영기업 K사
해킹으로 모바일 상품권 판매사 회원 9만 8천명 개인정보 유출
반복적인 로그인 시도 등 참지, 차단 등 안전조치 의무 소홀
→과징금 491만원, 과태료 690만원
2. 개인정보보호법위반 | 경영자 필수 체크리스트
기업을 영위하시면서 경영자 입장에서 간과하기 쉬운 개인정보보호법위반 사례가 많습니다.
다음과 같이 개인정보보호법위반을 미연에 방지하기 위해서 경영자는 다음과 같은 체크리스트를 확인하셔야 합니다.
개인정보 수집·보관 시 법적 동의
해당 동의는 ‘명확한 동의’가 필요합니다.
단순히 ‘정보 제공에 동의한다’는 문구에 서명이 아닌, 개인정보의 수집 목적과 항목, 보유 기간, 제3자 제공 여부 등을 구체적으로 고지해야 합니다.
업무처리의 효율성을 명목으로 자사 CRM 시스템에 고객의 개인정보 등을 입력하거나, 직원의 건강정보 및 가족사항을 HR 목적으로 저장하는 경우가 있으나 이 행위가 적법한 절차 없이 이루어진다면 개인정보보호법 위반 사항입니다.
기업이 외주 업체를 통해 개인정보를 위탁·처리하는 경우에도 위탁 사실을 사전 고지 및 동의받아야 합니다.
이러한 조치 없이 무단으로 제3자 전달할 경우 형사상 처벌 대상이 될 수 있습니다.
개인정보 보호법 제59조(금지행위)
정당한 권한 없이 또는 허용된 권한을 초과하여 다른 사람의 개인정보를 이용, 훼손, 멸실, 변경, 위조 또는 유출하는 등 위반 행위를 하여 개인정보 취득 및 개인정보 처리에 관한 동의를 받은 행위를 한 경우 3년 이하의 징역 또는 3,000만원 이하의 벌금에 처합니다.
따라서 고객 및 직원의 개인정보를 수집·보관하고자 할 경우에는 수집 목적이 적법하고 구체적인지, 동의 절차가 정보주체에게 명확히 안내되었는지, 동의 없이 수집된 정보가 없는지 등을 반드시 기업전문변호사와 함께 사전에 점검해야 합니다.
항목 | 설명 |
수집 목적 | 어떤 용도로 정보를 수집하는지 명확히 기재 |
수집 항목 | 이름, 연락처, 주소 등 어떤 정보를 수집하는지 구체화 |
보유 및 이용 기간 | 정보 보관 기간 및 이용 시점 |
제3자 제공 여부 | 외부 제공 시 그 대상과 목적 고지 필요 |
동의 방식 | 자발적이고 명확한 방식(체크박스, 전자서명 등) |
마케팅 용 광고성 문자 발송 동의 필수
마케팅이나 고객관리 목적으로 광고성 문자나 이메일을 발송하는 것은 대부분의 기업에서 일상적으로 이루어지는 업무입니다.
그러나 이러한 정보통신 방식의 광고 행위는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 ‘정보통신망법’)에 따라 엄격한 규제를 받습니다.
이를 위반할 경우 3,000만원 이하의 과태료를 부과받을 가능성이 높습니다.
광고성 정보 발송 시 반드시 확인해야 할 요건은 다음과 같습니다.
- 사전 수신 동의 확보 여부: 고객이 언제, 어떤 방식으로 동의했는지를 명확히 기록·보관
- 발신자 정보 명시: 광고임을 표시하고, 발신자의 상호·연락처 등을 명시
- 수신 거부 방법 안내: 수신자가 언제든지 간편하게 거부할 수 있는 방법 제공
- 정기적 동의 확인: 이후 정기적으로 광고성 정보 수신자의 수신동의 여부를 확인
경영자는 마케팅 담당 부서 또는 외주업체가 이러한 요건을 모두 이행하고 있는지 정기적으로 확인하고 위반 소지가 발견될 경우 즉시 법률 자문을 통해 개선 방향을 도출해야 합니다.
개인정보 유출 시 민사, 형사처벌 병행 가능
개인정보 유출은 단순한 보안 사고가 아닙니다.
기업의 관리 책임이 미흡했다는 사실이 입증될 경우, 개별 피해자에게 손해배상을 해야 할 뿐 아니라 형사처벌 대상이 될 수 있습니다.
개인정보보호법은 제29조(안전조치의무) 조항을 통해 기업에게 개인정보의 안전한 관리 및 기술적·관리적 보호조치 의무를 부여하고 있습니다.
즉, 고객 정보를 파일로 보관하거나 DB에 저장하는 경우에는 반드시 접근 권한을 제한하고, 비밀번호 암호화, 방화벽 설치, 백신 프로그램 운영 등 기본적인 보안 체계를 갖추어야 합니다.
이를 위반할 시 5,000만원 이하의 과태료가 부과됨은 물론, 개인정보가 분실 및 도난, 유출, 위조, 변조, 훼손됐다면 전체 매출액의 3%를 초과하지 않는 범위 내에서 과징금도 부과됩니다.
최근 내부 직원의 USB 저장, 외주업체의 보안 관리 미흡, 혹은 크리덴셜 스터핑 식의 해킹 공격에 의해 수천, 수만 건의 개인정보가 유출되는 사례가 빈번하게 발생하고 있습니다.
이 경우 피해자들은 ‘정당한 보호 조치 없이 정보를 방치하였다’는 이유로 기업에 대해 집단 소송을 제기하며, 법원은 300만원 이하의 범위 수준의 손해배상을 인정하는 추세입니다.
또한 정보 유출 경위에 따라 형사처벌이 병행될 수도 있으며, 특히 개인정보가 고의로 외부에 판매되었거나 유출 후 적절한 조치를 하지 않은 경우에는 경영자 본인이 개인정보 유출의 책임자로서 입건되는 일도 적지 않습니다.
이러한 위험을 방지하기 위해서는 기술적 보호조치뿐 아니라 정기적인 내부 감사와 외부 법률 자문을 통해 개인정보 처리 체계를 사전 점검하는 것이 필수적입니다.
3. 개인정보보호법위반 | 사후 대응보다 사전 진단이 현명
기업 활동의 전 영역에서 개인정보를 다루는 지금, 기업 경영자의 책임은 점점 더 무거워지고 있습니다.
경영자 개인이 모든 법령을 숙지하고 직접 대응하는 데에는 현실적인 한계가 존재하며 법령 개정 속도 역시 매우 빠르기 때문에 사내 🔗컴플라이언스 체계만으로는 리스크를 완전히 차단하기 어렵습니다.
위험은 예고 없이 찾아오며 그 책임은 결국 경영자에게 귀속됩니다. 사후약방문이 아닌 적합한 시기에 전문가의 도움을 받는다면 복잡한 규제 환경 및 유출 위험이 도사리는 환경 속에서도 안전하고 효율적인 기업 운영이 가능해집니다.
본 법인의 기업법무그룹 내 개인정보보호 스페셜리스트 변호사들은 다음과 같은 사전 진단과 사후 대응까지 개인정보보호법위반 사안 전 과정을 해결할 역량을 지니고 있습니다.
따라서 개인정보보호법 위반과 관련된 리스크를 최소화하기 위해서는 🔗기업전문변호사로부터 다음과 같은 지원을 주기적으로 받는 것이 필요합니다.
개인정보 관련 동의서, 약관 법적 타당성 검토 및 개선
광고 문자, 이메일 발송 시스템 정책 수립과 자문
유출 사고 발생 시 법률 대응, 피해 최소화 전략 수립
